VELOCIDAD DE ESCAPE
Inicio > Historias > CON HUMOR, LO TOMAMOS CON HUMOR
CON HUMOR, LO TOMAMOS CON HUMOR
Ciertamente una de los principales argumentos que se sostenían para el apoyo a las plataformas de software abierto, era el hecho de que la seguridad, basada en varios factores, como la disponibilidad del código, la posibilidad de corregir por tí mismo los fallos, y la velocidad en la resolución de las vulnerabilidades, era mayor.Día tras día se va viendo que esta tesis encaja más en la idea de un modo de hacer Marketing, en un modo de mostrar la diferenciación de mi producto frente al de los demás que ciertamente en la existencia de una seguridad mayor, que aparte de la protección debida a la nula ubicuidad de estos sistemas, poco más puede ofrecer.
Una de las más graves y recientes, que hace que desde el año 2006 las claves generadas con OpenSSL pueden ser reventadas en minutos debido a que alguien borró una línea de código, me confirma en la idea de que la famosa tesis de "cuantos mas ojos hay sobre el código, mejor", es cuando menos falsa, y en el peor de los casos, peligrosa.
Al menos en mi experiencia, cuando más gente mete la cuchara en un proyecto, peor. A partir de un numero determinado de personas, la cosa se desmadra, y como muy bien conocen los psicólogos sociales (caso Kitty Genovese), muchos ojos viendo un problema, hace que se diluya la responsabilidad y al final todo el mundo escurre el bulto esperando que lo resuelva otro, al margen de que la gestion de personas en proyectos grandes o de muchos implicados es un autentico sembrado de cagadas peligrosas.
Así que nos lo tomamos con humor.
Programación | jomaweb | 9 Comentarios | Enlace
Referencias (TrackBacks)
URL de trackback de esta historia http://jomaweb.blogalia.com//trackbacks/57481
Comentarios
1 |
|
||
Tu sesudo análisis se olvida de comparar este gambazo de Debian con gambazos similares en el modelo de código cerrado. Tomemos esta vulnerabilidad en el PRNG de Windows, que afecta a todas sus versiones anteriores a Vista.
|
2 |
|
||
si !!, windows tiene muchisimas vulnerabilidades, por que esas nunca las comentas ? aaah cierto, la onda es despotricar contra el open source...
|
3 |
|
||
Como dice #1:
|
4 |
|
||
Sólo una pregunta: ¿se tiene conocimineto de algún "exploit" que se aproveche de la vulnerabilidad del PRNG de Windows? Anteriores a diciembre de 2007 me refiero, porque posteriores a esa fecha y conociendo el qué y el cómo me (y con 7 meses de gracia) imagino que habrá sido "más sencillo"...
|
5 |
|
||
Para variar, artículo que escribes como te sale la punta del nabo: "que hace que desde el año 2006 las claves generadas con OpenSSL [..]". A veces me pregunto si realmente lees los artículos, si los lees con un filtro mental, o qué cojones. Igual te pasó con lo de MySQL el otro día, que lo que soltaste tenía que ver aún menos con la realidad.
|
6 |
|
||
@Heimy: Aquí detallan bien la historia. Parece ser que el desarrollador de Debian *preguntó* a los de OpenSSL y le respondieron que la linea, en efecto, se podía borrar. Lo cual apoya las inquietudes de Jomaweb sobre el modelo de desarrollo de software. Aquí hay un artículo escrito sin histerismo
|
7 |
|
||
Esto es lo que dice Ben Laurie, desarrollador de OpenSSL, sobre ese famoso thread:
In this thread, the Debian maintainer states his intention to remove for debugging purposes a couple of lines that are adding an unintialiased buffer to the pool. In fact, the first line he quotes is the first one I described above, i.e. the only route to adding anything to the pool. Two OpenSSL developers responded, the first saying use -DPURIFY and the second saying if it helps with debugging, Im in favor of removing them. Had they been inspired to check carefully what these lines of code actually were, rather than believing the description, then they would, indeed, have noticed the problem and said something, I am sure. But their response can hardly be taken as unconditional endorsement of the change. |
9 |
|
||
best web hosting
|